image

Bulgaarse bank krijgt boete van 500.000 euro voor datalek

vrijdag 30 augustus 2019, 15:11 door Redactie, 5 reacties

De Bulgaarse privacytoezichthouder heeft de Bulgaarse DSK Bank wegens een datalek veroordeeld tot een boete van ruim 500.000 euro. Uit onderzoek van de toezichthouder bleek dat de bank onvoldoende technische en organisatorische maatregelen had genomen om klantgegevens te beschermen.

Daardoor konden de gegevens van meer dan 33.000 klanten door derde partijen worden opgevraagd. Het ging om namen, de Bulgaarse tegenhanger van het Burgerservicenummer, adresgegevens, gescande kopieën van identiteitsbewijzen met biometrisch informatie over lengte en kleur van de ogen, belasting- en salarisgegevens en informatie over bezittingen. Hoe het datalek precies kon ontstaan laat de toezichthouder niet weten.

Wel bleek uit onderzoek van de autoriteit dat de bank de vertrouwelijkheid, integriteit en beschikbaarheid van de systemen en diensten voor het verwerken van persoonlijke gegevens van personen en klanten van de bank en gerelateerde derde partijen niet kon garanderen. Daarop werd een boete van 1 miljoen Bulgaarse lev opgelegd, omgerekend 511.000 euro.

Reacties (5)
30-08-2019, 22:04 door karma4 - Bijgewerkt: 30-08-2019, 22:07
Wat is de onderbouwing van " Wel bleek uit onderzoek van de autoriteit dat de bank de vertrouwelijkheid, integriteit en beschikbaarheid van de systemen en diensten voor het verwerken van persoonlijke gegevens van personen en klanten van de bank en gerelateerde derde partijen niet kon garanderen."

Met het zou kunnen zijn dat is er geen bewijs. De biv stel geen doel tot 100% garantie dat er niets mis kan gaan.
31-08-2019, 07:24 door Anoniem
Door karma4: Wat is de onderbouwing van " Wel bleek uit onderzoek van de autoriteit dat de bank de vertrouwelijkheid, integriteit en beschikbaarheid van de systemen en diensten voor het verwerken van persoonlijke gegevens van personen en klanten van de bank en gerelateerde derde partijen niet kon garanderen."

Met het zou kunnen zijn dat is er geen bewijs. De biv stel geen doel tot 100% garantie dat er niets mis kan gaan.
Vanwaar dat onmiddelijke wantrouwen? De Bulgaarse DPA meldt dat ze een maand lang een audit hebben gedaan en dat dit eruit is gebleken. Is er een aanleiding om dat te wantrouwen?

Niet op basis van wat de bank er zelf over meldt:
https://dskbank.bg/??????-?-????????/???????/2019/08/29/?????????-??-?????-???-???????-???????-??-????
https://dskbank.bg/%D0%BD%D0%BE%D0%B2%D0%B8%D0%BD%D0%B8-%D0%B8-%D0%BF%D1%80%D0%BE%D0%BC%D0%BE%D1%86%D0%B8%D0%B8/%D0%B4%D0%B5%D1%82%D0%B0%D0%B9%D0%BB%D0%B8/2019/08/29/%D0%B8%D0%B7%D1%8F%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5-%D0%BD%D0%B0-%D0%B1%D0%B0%D0%BD%D0%BA%D0%B0-%D0%B4%D1%81%D0%BA-%D0%BE%D1%82%D0%BD%D0%BE%D1%81%D0%BD%D0%BE-%D1%80%D0%B5%D1%88%D0%B5%D0%BD%D0%B8%D0%B5-%D0%BD%D0%B0-%D0%BA%D0%B7%D0%BB%D0%B4
Met Google Translate in het Engels vertaald staat er:
DSK Bank statement on CPDP decision
08/29/2019

On June 23, 2019 DSK Bank circulated the following message to the media:

"A Bulgarian citizen, previously convicted and imprisoned on a bank robbery charge, informed DSK Bank that he had a database containing customer data from the bank.

On the basis of this information, the bank initiated an internal investigation during which it was determined that there had been no successful digital attack against the bank's information systems. In this regard, if a person holds such data, it can be obtained only in another way, but also in an unlawful manner with unlawful action to the detriment of the bank.

DSK Bank notified the Personal Data Protection Commission of the case and submitted a report to the judicial authorities. "

On August 28, 2019, DSK Bank states the following:

"DSK Bank, the leading retail banking bank and one of the largest personal data operators in Bulgaria, has been fined by the Commission for Personal Data Protection for having committed a non-digital data theft against the institution. DSK Bank accepts the fine and cooperates with the authorities to further improve their personal data protection measures."
De laatste zin heb ik vet gemaakt. Ze bestrijden de boete niet en gaan hun beveiligingsmaatregelen verbeteren. Dat is een erkenning dat de DPA gelijk heeft.
31-08-2019, 09:41 door Anoniem
Aanvulling op Vandaag, 07:24
Preview deed weer eens iets anders dan er uiteindelijk getoond wordt. De link met de vraagtekentjes bevatte de cyrillische tekens maar werd in de preview niet als link weergegeven maar als tekst. Dus voegde ik de (wel erg lange) escaped URL toe.

@redactie: het zou prettig zijn als dat soort verschillen tussen preview en uiteindelijke weergave er niet waren. Je gebruikt de preview tenslotte om te zien wat het wordt.
31-08-2019, 15:02 door karma4
Door Anoniem: …...
De laatste zin heb ik vet gemaakt. Ze bestrijden de boete niet en gaan hun beveiligingsmaatregelen verbeteren. Dat is een erkenning dat de DPA gelijk heeft.
Dat ken ik van het AP, daarvan heb ik zelf kunnen vaststellen dat die ontzettend falen en flaters begaan op het vlak van informatiebeveiliging. Met dit soort bedragen dat ook daar minder dan het maandsalaris van de CEO van een bank is zal er met zo'n bedrag sneller voor dat betalen gegaan worden dan voor de onzekere weg via advocaten en rechter.
Wat doe jij met een fout parkeerbelastingheffing voor 15 Euro? Ga je daar veel tijd in steken en een advocaat er achter aan laten gaan. Ofwel: geen erkenning dat de dpia gelijk heeft, ze kiezen de makkelijkste goedkoopste weg.

Bedenk het datalek zelf aanvechten heeft vermoedelijk weinig zijn. Het gat om een welles nietes over de technische inrichting.
Jouw auto moet hoognodig gerepareerd worden. We hebben vastgesteld dat hij harder kan dan op sommige plaatsen mag.
31-08-2019, 17:33 door Anoniem
Door karma4: Dat ken ik van het AP, daarvan heb ik zelf kunnen vaststellen dat die ontzettend falen en flaters begaan op het vlak van informatiebeveiliging.
Al aangenomen dat ik dat oordeel met je zou delen, waarom zeggen fouten die het AP maakt iets over hoe de Bulgaarse DPA werkt? Ga je ervan uit dat wat op één lid van een categorie geldt voor alle leden moet gelden? Volgens die logica moet je als je in één restaurant slecht hebt gegeten concluderen dat alle restaurants slecht zijn.

Ofwel: geen erkenning dat de dpia gelijk heeft, ze kiezen de makkelijkste goedkoopste weg.
Je vult heel erg veel conclusies in waar informatie voor nodig is die helemaal niet bekend is gemaakt. Je baseert je op aannames dus. Wat jij schetst is een mogelijkheid, maar het is slechts een mogelijkheid tussen vele, vele andere varianten.

Ik baseer me liever op informatie die wel naar buiten is gebracht, en die geeft een ander beeld dan jij schetst. Als er concreet nieuws volgt dat een ander beeld geeft dan sluit ik me daar echt niet voor af. Maar ik ga niet mijn beeld van de situatie baseren op speculaties van iemand die anderen om onderbouwing vraagt maar zijn eigen aannames op drijfzand baseert, mogelijk zonder dat zelf in te zien.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.